Mesdames, Messieurs les professionnels de l'investissement, bonjour. Je suis Maître Liu, chez Jiaxi Fiscal et Comptabilité. Après douze ans à accompagner des entreprises étrangères dans leurs démarches, et quatorze ans à plonger dans les arcanes des procédures d'enregistrement, j'ai vu défiler pas mal de dossiers. Si je vous parle aujourd'hui de sauvegarde et de reprise après sinistre, ce n'est pas pour vous refaire le coup du "c'est important de faire des backups". Non, le sujet est bien plus brûlant que ça.
Le problème, voyez-vous, c'est que la conformité selon la loi sur la protection des données a changé la donne. Avant, on faisait une sauvegarde pour ne pas perdre son travail. Aujourd'hui, on le fait aussi pour ne pas enfreindre la loi. Et la nuance est de taille. J'ai eu le cas, il y a deux ans, d'un fonds d'investissement américain installé à Shanghai. Leur responsable IT, un jeune homme brillant, avait mis en place un système de backup impeccable... sur un serveur physique hébergé dans un centre de données à Singapour. Problème : les données personnelles de leurs clients chinois transitaient hors du territoire sans autorisation. L'amende ? Astronomique. Et la confiance des clients ? Perdue. Alors, oui, la reprise après sinistre, c'est technique. Mais la conformité, c'est une question de survie. Aujourd'hui, je vais vous partager quelques réflexions, issues de mon expérience de terrain, sur ce que la loi exige vraiment. Pas de jargon inutile, juste du concret.
一、 数据分级与备份策略
La première chose à comprendre, c'est qu'on ne sauvegarde pas toutes les données de la même manière. La loi sur la protection des données, dans son esprit, exige une approche proportionnée. Autrement dit, vous devez classer vos données. Les données personnelles sensibles (santé, biométrie, opinions politiques, etc.) et les données personnelles des masses (celles de plus d'un million de personnes, par exemple) sont soumises à des obligations de protection renforcées. Le Règlement sur la sécurité des données (Data Security Law) est très clair là-dessus : vous devez établir un système de classification et de gradation.
Concrètement, cela signifie que votre stratégie de backup ne peut pas être "one size fits all". Pour les données critiques, on envisage souvent une sauvegarde en temps réel, voire des répliques synchrones. Mais attention : la loi impose que ces sauvegardes, surtout si elles impliquent des données à caractère personnel de citoyens chinois, soient stockées en Chine ! J'ai vu une société de capital-risque qui sauvegardait ses données "sensibles" sur un serveur cloud en Allemagne, pensant bien faire en utilisant un leader du marché. Erreur fatale. Le principe de localisation des données est un pilier de la conformité. Pour les données moins sensibles, un backup journalier ou hebdomadaire peut suffire, mais il doit toujours respecter le principe de minimisation : ne sauvegardez que ce qui est nécessaire à la reprise d'activité, pas l'intégralité de votre base de données inutilement. Cela réduit les risques et les coûts.
Un de mes clients, une start-up fintech, avait un plan de sauvegarde très bien pensé techniquement, mais il n'avait pas documenté sa logique de classification. Lors d'une inspection, l'autorité de régulation lui a demandé : "Sur quels critères avez-vous décidé que ces données étaient 'ordinaires' et celles-là 'importantes' ?" Ils n'avaient pas de réponse écrite. Cela a été considéré comme une non-conformité. Il ne suffit pas de le faire, il faut prouver que vous le faites selon les règles, avec une politique écrite et approuvée. C'est là que notre rôle chez Jiaxi prend tout son sens : vous aider à formaliser ces processus.
二、 跨境传输与备份限制
Ah, le casse-tête du跨境 transfert ! C'est probablement le sujet qui a fait le plus de cheveux blancs à mes clients étrangers. La loi sur la protection des données (PIPL) est très stricte : en principe, les données personnelles collectées en Chine doivent être stockées en Chine. Si vous devez les transférer à l'étranger (par exemple, pour une consolidation globale de vos backups, ou parce que votre siège social veut une copie), c'est possible, mais sous conditions très strictes.
Il faut, sauf exception, passer par l'une des voies légales : soit un contrat type approuvé par les autorités, soit un certificat de sécurité délivré par un organisme agréé, soit une certification de votre groupe. Et pour les données très sensibles ou en grande quantité, c'est souvent l'évaluation de l'impact sur la protection des données (EIPD) qui s'impose, soumise à l'administration provinciale. J'ai accompagné une société de conseil en investissement qui voulait synchroniser son CRM (Customer Relationship Management) entre Shanghai et son bureau de Hong Kong. Rien que pour ça, on a dû monter un dossier de plusieurs semaines, incluant l'avis du représentant légal, le registre des transferts, et l'analyse de la nécessité du transfert.
Et là, je vous vois venir : "Mais Maître Liu, on ne peut pas héberger nos backups sur le serveur de notre maison-mère à l'étranger ?" Si, mais à condition que ce serveur soit considéré comme une "installation de sauvegarde distante" et que vous ayez respecté toutes les formalités préalables. Et c'est là que beaucoup se plantent : ils pensent qu'un backup n'est pas un "transfert", mais une simple copie technique. L'autorité de régulation ne voit pas les choses de cet œil. Toute copie de données personnelles vers un destinataire situé hors de Chine, même à des fins de sauvegarde, constitue un transfert. Alors, méfiez-vous des solutions de cloud international "tout-en-un" qui prétendent gérer la conformité chinoise. J'ai vu des entreprises payer très cher ce manque de vigilance.
三、 恢复演练与记录义务
Avoir un plan de reprise après sinistre (PRA), c'est bien. Le tester, c'est mieux. Et le prouver, c'est obligatoire. La loi ne se contente pas d'exiger que vous ayez un processus de sauvegarde ; elle exige que vous soyez capable de démontrer votre capacité à restaurer les données dans des délais acceptables. C'est ce qu'on appelle l'obligation de "reprise d'activité". J'ai eu un cas où une société de gestion d'actifs avait un PRA magnifique, avec des scenarii de panne, de sinistre, etc. Mais lors d'un contrôle, l'inspecteur a demandé : "Montrez-moi le registre des tests de l'année écoulée." Ils n'en avaient qu'un seul, vieux de 18 mois. Résultat : une observation formelle.
Il ne s'agit pas de faire des tests de restauration complets tous les mois, mais il faut un calendrier. La loi et les normes associées (comme celles de l'Administration du cyberespace de Chine) recommandent, pour les entreprises traitant des données importantes, un test au moins annuel, voire semestriel pour les données critiques. Mais surtout, il faut documenter chaque test : date, périmètre, anomalies constatées, corrections apportées. C'est ce que j'appelle la "traçabilité de la résilience". Et ces documents doivent être conservés, car ils font partie de votre dossier de conformité.
Je me souviens d'un client qui a subi une attaque ransomware. Heureusement, ils avaient testé leur PRA trois mois plus tôt. La restauration a pris 4 heures. Mais un de leurs concurrents, qui n'avait pas testé, a mis 3 jours à retrouver ses données, et a perdu des transactions clés. Le test n'est pas une corvée administrative ; c'est un investissement dans la continuité de votre activité. Et pour les autorités, c'est la preuve que vous prenez vos obligations au sérieux. Chez Jiaxi, on insiste toujours : la conformité, c'est aussi une affaire de preuves.
四、 供应商管理与合同条款
Si vous sous-traitez votre sauvegarde ou votre reprise après sinistre à un fournisseur de cloud ou à un prestataire de services informatiques, vous n'êtes pas dédouané pour autant. La loi sur la protection des données a introduit le concept de "co-responsable du traitement" et surtout de "sous-traitant". Vous, en tant que responsable du traitement, devez vous assurer que votre sous-traitant (le fournisseur de cloud, par exemple) respecte les mêmes obligations. Cela passe par un contrat solide.
J'ai vu des contrats types de fournisseurs internationaux qui disaient : "Le client est seul responsable de la conformité de ses données." C'est inacceptable. Le contrat doit impérativement inclure des clauses précises sur : la localisation des données (où sont stockés les backups ?), les mesures de sécurité (chiffrement, contrôle d'accès), l'obligation d'assistance en cas d'incident, le droit d'audit pour vous (ou pour l'autorité), et les conditions de sortie de contrat. Un contrat flou est une bombe à retardement. Je conseille toujours à mes clients de faire valider le contrat de leur prestataire par un avocat spécialisé en droit des données, et de ne pas hésiter à négocier.
Un exemple concret : une société de private equity avait confié sa sauvegarde à un grand fournisseur de cloud asiatique. Le contrat stipulait que les données étaient stockées dans un datacenter à Singapour, avec une réplique à Tokyo. Or, ils collectaient des données personnelles de clients chinois. Le contrat n'avait pas de clause de localisation. J'ai dû les aider à renégocier un avenant pour que les backups principaux soient déplacés en Chine, avec un engagement contractuel ferme du prestataire. Cela a pris du temps, mais cela a évité un risque majeur. N'oubliez jamais : vous êtes responsable du choix de vos prestataires.
五、 事件响应与通知义务
Imaginons le pire scénario : une panne majeure, un incendie, ou pire, une fuite de données. Votre plan de reprise après sinistre doit inclure non seulement la restauration technique, mais aussi la réponse légale. La loi sur la protection des données impose une obligation de notification en cas d'incident de sécurité. Vous devez informer l'autorité de régulation (l'Administration du cyberespace de Chine) et les personnes concernées, dans un délai très court (en général, "sans délai" ou dans les 72 heures pour certains incidents majeurs).
Et là, votre backup joue un rôle crucial. Pourquoi ? Parce que la première chose que l'autorité vous demandera, c'est : "Quelles données ont été compromises ? Avez-vous une copie saine ? Pouvez-vous restaurer ?" Si vous avez un backup bien organisé, vous pouvez rapidement identifier l'ampleur des dégâts et prouver que vous avez pris des mesures pour limiter les conséquences. En revanche, si vous ne savez pas ce que vous avez perdu, ou si votre unique backup est corrompu, vous êtes dans une situation très délicate.
J'ai accompagné un fonds d'investissement lors d'un incident de phishing qui avait compromis les données de leurs investisseurs. Grâce à leur système de backup horaire, ils ont pu identifier exactement les dossiers touchés et les restaurer à un état antérieur. Leur notification à l'autorité était précise, détaillée, et démontrait leur contrôle. Ils s'en sont sortis avec une simple observation. Un autre client, moins bien préparé, n'a pas pu dire précisément quelles données avaient été copiées. Il a été sanctionné pour "manquement à l'obligation de sécurisation des données". La leçon est simple : un backup, c'est votre assurance-vie en cas d'incident.
六、 定期审计与持续改进
Enfin, et c'est peut-être le point le plus important à mes yeux : la conformité n'est pas un état, c'est un processus. La loi sur la protection des données exige une évaluation régulière de l'impact sur la protection des données (EIPD), mais elle impose aussi, de manière plus générale, une obligation de mise à jour continue de vos mesures de sécurité. Vous ne pouvez pas installer un système de backup en 2024 et l'oublier jusqu'en 2030.
Les technologies évoluent, les menaces aussi, et la réglementation chinoise est en constante évolution. Par exemple, les récentes normes sur la sécurité des données dans le secteur financier imposent des tests de résilience plus fréquents. Je conseille à tous mes clients de mettre en place un cycle d'audit interne annuel de leur plan de sauvegarde et de reprise. Cela peut être fait par votre équipe IT, ou par un auditeur externe comme nous. L'objectif est de vérifier que les mesures sont toujours efficaces, que les contrats des prestataires sont à jour, et que les processus de classification sont toujours pertinents.
J'ai un client, une société de conseil en fusions-acquisitions, qui fait ça très bien. Chaque année, ils consacrent un mois entier à tester leur PRA, à auditer leurs fournisseurs, et à mettre à jour leur documentation. Ils considèrent ça comme un coût, mais en réalité, c'est un investissement dans la confiance de leurs clients. Et je peux vous dire que lors des due diligences (vérifications préalables) de leurs investisseurs, ces documents font forte impression. La conformité proactive est un avantage concurrentiel.
Pour résumer, la conformité en matière de sauvegarde et de reprise après sinistre selon la loi chinoise sur la protection des données ne se résume pas à une question technique. C'est un cadre juridique complexe qui impose une approche structurée, documentée et prouvable. De la classification des données aux obligations de test, en passant par la gestion des prestataires et la réponse aux incidents, chaque étape doit être pensée avec rigueur. L'objectif final n'est pas seulement de protéger vos données, mais de protéger votre entreprise contre les risques juridiques et réputationnels. J'espère que ces quelques réflexions, tirées de mon expérience quotidienne, vous aideront à y voir plus clair. N'hésitez pas à nous contacter chez Jiaxi Fiscal et Comptabilité pour un diagnostic personnalisé.
